水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ > 「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」へのコメント

「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」へのコメント

[5054] Re: 「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」

yamagata21 (2008年10月12日 10時22分)

セキュリティ/脆弱性についてちゃんと理解している人の場合や、あるいは、

XSSのように脆弱性の存在が誰にでも明白に判断できる場合は、

「○○というサイトは脆弱だ」と言ってしまうのもアリかも知れません。

でも、世の中には、セキュリティ/脆弱性についての中途半端な理解のもと、

例えば、入力→確認→完了の、確認→完了で、hiddenを使って値を引き継いで

いました!これは脆弱です!というような届出だってあるかも知れません。

例えば、アンケートフォームがhttpsではありませんでした!脆弱です!

という届出もあるかも知れません。

詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

濡れ衣だ~!とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

# ま、「受理」になってから、書けば良いのかも知れませんが、、、

 ***

どうすれば修正してもらえるんですかねぇ。

企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

その企業が所属する業界団体に通知するようにするとか。(冗談w)

[5055] Re: 「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」

ばけら (2008年10月12日 12時16分)

>詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

>なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

>濡れ衣だ~!とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

 確かにそうですね。

 実際、そんなような話が過去にあったような気もします。

 そのための釘でもあるのでしょうね。

>企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

>その企業が所属する業界団体に通知するようにするとか。(冗談w)

 まともな企業なら、割とふつうに対応してくれるので問題ないのですけれど……。

 最近悩みの種なのが「大量に脆弱性を生み出しており、既に攻撃も受けているのに改める気配が全く感じられない個人」というパターンで、これがいちばんやっかいかもしれないと思っております。

新規投稿フォーム

※広告や宣伝の書き込みはご遠慮ください。

:

:

:

最近の日記

関わった本など